北川祥一(きたがわ・しょういち)
北川綜合法律事務所代表弁護士。弁護士登録後、中国関連国際法務分野においてトップローファームといえる大手法律事務所(当時名称:曾我・瓜生・糸賀法律事務所)に勤務し、大企業クライアントを中心とした多くの国際企業法務案件を取り扱う。その後独立し、現事務所「北川綜合法律事務所」を開業。中国、台湾、マレーシアなどのアジア国際法務及び国内企業法務を取り扱い、最新の証拠収集方法も駆使し、紛争の解決・予防に尽力している。
引き続きデジタルフォレンジックの話となります。
4月21日に「IT時代の紛争の解決と予防の方法~デジタルデータ調査 “デジタルフォレンジック”を利用した紛争解決・予防~セミナー」を開催し、講師を務めました。
幸いにも、経営者様、エンジニア様、部門担当様など36名様にご参加頂き、大変盛況のうちに開催させて頂きました。当該分野に関する皆様のご興味の高さも感じることができました。
さて、今回は前回予告したとおり、実際にデジタルフォレンジックにより証拠収集を行う際の技術的なフローについて解説したいと思います。
デジタルフォレンジック調査を行う前提として、「調査したパソコン及びその調査結果が、本当に問題となっているとパソコン及び調査結果であるか」という問題があります。また、パソコンには電源のON/OFFに関するログ、各ソフトウェアのログなどが存在し、デジタルフォレンジックはそれらのログデータも調査の対象としています。他方で、調査のために電源をONすることは、まさにそれらログの変更など対象パソコンの状態を変更してしまうことになりかねません。
以上のような問題をクリアするため、デジタルフォレンジック調査の実務において一般的には、まず一番初めに、調査対象となるパソコンのハードディスクについて、電源を入れることなくまるごと物理コピーし、デジタルフォレンジック調査は、そのようにして作成されたコピーハードディスクに対して行うこととなります。
デジタルフォレンジック調査が、あくまでコピーに対して行われるのは、電源を入れることやファイルを開くことなどにより、上記のようなログ情報、その他従前のパソコンの状態が調査作業によって変更されてしまうこと、ひいては証拠価値が毀損(きそん)することを避けるためとなります。
なお、オリジナルハードディスクとコピーハードディスクとの間の同一性については、それぞれのハッシュ値を算出することにより、また、これに加えてハードディスクのコピー作業風景の録画などによって同一性確保を行うこととなります。
ハッシュ値とは、あるデータについて、一定の演算処理をすることにより求められる数値のことを言います。同一のデータからは同一のハッシュ値が算出されますが、わずかでも異なるデータからは完全に異なるハッシュ値が算出されることになるという特徴を持っています(異なるデータから同一のハッシュ値が算出される可能性はゼロではありませんが、その可能性が極めて低いことから、実用上通常衝突が発生することは考慮しなくてもよいと一般的には言われています)。
その意味で、ハッシュ値は、データの“指紋”とも言われるところです。すなわち、ハッシュ値が同一であれば、元のデータも同一であると言えるということです。
以上のようなデジタルフォレンジック調査のフローの説明からもご理解頂けるとおり、インシデント発生時においては、対象となるデジタル機器の状態の保全が非常に重要なポイントとなり、自分で調査するために電源を入れることさえも控えるのが望ましいことがご理解頂けるところと思います。
インシデント発生時の行動指針としては、重要な証拠が存在すると思料されるデジタル機器の状態保全を行うことが一つ重要となるでしょう。
※記事中のデジタルフォレンジックセミナーに関する情報については、以下の事務所HPをご参照ください。
https://www.kitagawa-law.com/
※『企業法務弁護士による最先端法律事情』での過去の関連記事は以下の通り。
「デジタルフォレンジック」をご存じですか?
https://www.newsyataimura.com/?p=4960#more-4960
「デジタルフォレンジック」をご存じですか?(その2)
https://www.newsyataimura.com/?p=5063#more-5063
「デジタルフォレンジック」をご存じですか?(その3)
https://www.newsyataimura.com/?p=5173#more-5173
コメントを残す